Die Meldung sorgt derzeit in der Fotografenszene für erhebliche Unruhe: Beim Online-Galerie- und Shopdienstleister Portraitbox ist es offenbar zu einem schwerwiegenden Cyberangriff gekommen. Betroffen sein könnten nicht nur Fotografen selbst, sondern auch Kundendaten, Bilddateien sowie Zugänge zu Onlinegalerien.
Nach bisherigen Informationen verschafften sich unbekannte Angreifer am Wochenende des 16./17. Mai 2026 über einen kompromittierten API-Schlüssel Zugriff auf die AWS-Infrastruktur des Unternehmens. Dabei sollen Daten heruntergeladen und anschließend teilweise auf den Servern gelöscht worden sein.
Portraitbox mit Sitz in Paderborn gehört seit Jahren zu den wichtigsten Plattformen für professionelle Fotografen im Bereich Kindergarten- und Schulfotografie, Hochzeitsfotografie, Studiofotografie, Onlinegalerien, Bildverkauf und Kundenbestellungen.
Viele Fotografen nutzen die Plattform als zentrale Infrastruktur für Hosting, Galerien, Bildauslieferung und Verkaufsabwicklung. Gerade deshalb könnte der Vorfall erhebliche datenschutzrechtliche und wirtschaftliche Folgen haben.
Nach Angaben der bislang veröffentlichten Informationen könnten unter anderem hochgeladene Fotos, Kundennamen, E-Mail-Adressen, Lieferanschriften, Bestellhistorien sowie Zugangsdaten und Galeriecodes betroffen sein.
Besonders problematisch: Nach aktuellem Stand drohen die Angreifer offenbar mit einer Veröffentlichung der Daten. Das deutet auf einen klassischen Ransomware- beziehungsweise Erpressungsangriff hin.
Für Fotografen ergibt sich daraus eine komplexe Situation. Denn datenschutzrechtlich fungieren viele Nutzer der Plattform selbst als Verantwortliche im Sinne der DSGVO, während Portraitbox als Auftragsverarbeiter agiert. Genau darauf verweist Portraitbox seit Jahren auch in seinen Datenschutzinformationen und Auftragsverarbeitungsverträgen.
Damit stellt sich für viele Betroffene nun die Frage: Welche Pflichten entstehen durch den Vorfall? Datenschutzrechtler weisen darauf hin, dass Fotografen mögliche Meldepflichten gegenüber Datenschutzbehörden prüfen müssen — insbesondere dann, wenn personenbezogene Daten ihrer Kunden betroffen sind. Nach DSGVO gelten dabei enge Fristen. Teilweise müssen Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden.
Besonders sensibel ist die Situation im Bereich Kindergarten- und Schulfotografie, da hier häufig Daten Minderjähriger verarbeitet werden. Hinzu kommt, dass viele Bilder nicht nur personenbezogene Daten darstellen, sondern hochsensible biometrische Informationen enthalten können.
Der Vorfall zeigt einmal mehr, wie stark professionelle Fotografie inzwischen von digitalen Plattformen und Cloud-Infrastrukturen abhängt. Onlinegalerien, automatisierte Shop-Systeme, KI-gestützte Workflows und cloudbasierte Archive erleichtern zwar Produktion und Vertrieb, erhöhen aber zugleich die Abhängigkeit von externen Dienstleistern und deren Sicherheitsarchitektur.
Gerade kleinere Studios und selbständige Fotografen verfügen oft weder über eigene IT-Abteilungen noch über umfassende Datenschutzkompetenz. Gleichzeitig steigen die regulatorischen Anforderungen kontinuierlich.
Der aktuelle Fall dürfte daher weit über Portraitbox hinaus Diskussionen auslösen: über Datensicherheit in der Fotobranche, über Verantwortung bei Auftragsverarbeitung, über Cloud-Abhängigkeiten sowie über die langfristige Absicherung sensibler Bildarchive.
Portraitbox teilte mit, dass der Angriffsweg geschlossen, die Datenschutzbehörden informiert und externe IT-Forensiker eingeschaltet wurden. Die Sicherheitsmaßnahmen würden derzeit grundlegend überarbeitet.
Für Fotografen bleibt dennoch die Erkenntnis: Datensicherheit, Backup-Strategien und DSGVO-Compliance sind längst keine Randthemen mehr, sondern entwickeln sich zunehmend zu zentralen Bestandteilen professioneller fotografischer Praxis.
Quellen:
Abb.: ChatGPT-generiert
